تثبيت مكتب التحقيقات الفيدرالي تنبيها جديدا ل FLASH في 7 مارس 2022 ، محذرا من أن عائلة RagnarLocker ransomware قد عرضت للخطر ما لا يقل عن 52 مؤسسة عبر 10 قطاعات بنية تحتية حيوية ، بما في ذلك قطاعات التصنيع والطاقة والخدمات المالية والحكومة وتكنولوجيا المعلومات الحيوية.
وفقا لمركز موارد سرقة الهوية ، تضاعفت هجمات برامج الفدية في عام 2020 ، وتضاعفت مرة أخرى في عام 2021. ولكن الشيء الوحيد المثير للاهتمام حول عائلة RagnarLocker ransomware هو أنها كانت موجودة منذ عام 2019 ، واستمرت كتهديد ، حتى مع تقاعد أو اعتقال عائلات برامج الفدية الأخرى مثل Maze و DarkSide و REvil و BlackMatter.
في الواقع ، تثبيت مكتب التحقيقات الفيدرالي لأول مرة تنبيه FLASH حول عائلة RagnarLocker ransomware في 19 نوفمبر 2020. في هذا التنبيه ، حذر مكتب التحقيقات الفيدرالي من أن RagnarLocker يستهدف مزودي الخدمات السحابية والاتصالات والبناء والسفر وشركات برمجيات المؤسسات.
نهج غير مألوف للتشويش
يحتوي RagnarLocker على العديد من الميزات غير الشائعة التي يجب ملاحظتها. أولا ، ستنهي عمليتها إذا اكتشفت أن موقع الجهاز في واحدة من العديد من دول أوروبا الشرقية ، بما في ذلك روسيا وأوكرانيا ، مما يشير إلى أن مجموعة الهجوم (أو ممثل التهديد) تنسب إلى إحدى هذه البلدان (مثل العديد من عائلات برامج الفدية الروسية الأخرى).
الجانب الأكثر تميزا في RagnarLocker هو كيفية التهرب من الكشف عن طريق تشفير الملفات بدقة جراحية بدلا من العشوائية. يبدأ RagnarLocker هذه العملية عن طريق إنهاء اتصالات مزودي الخدمة المدارة ، وإنشاء كفن يمكن أن يعمل منه دون أن يتم اكتشافه. بعد ذلك ، يقوم RagnarLocker بحذف نسخ Volume Shadow بصمت لمنع استرداد الملفات المشفرة. أخيرا ، يقوم RagnaLocker بتشفير الملفات بشكل انتقائي ، وتجنب الملفات والمجلدات المهمة لتشغيل النظام ، مثل .exe و .dll و Windows و Firefox (من بين المتصفحات الأخرى) - يتجنب هذا النهج إثارة أي شكوك حتى يكتمل الهجوم.
على الرغم من أن تنبيه FLASH لا يذكر ذلك ، إلا أن هناك بعض الجوانب الأخرى ل RagnarLocker التي تم الإبلاغ عنها في وسائل الإعلام والتي تعتبر مثيرة للاهتمام أيضا. وفقا ل Bleeping Computer ، أصدرت RagnarLocker تحذيرات من أنها ستسرب البيانات المسروقة إذا اقترب ضحاياها من مكتب التحقيقات الفيدرالي. ووفقا لمجلة SC ، أثبتت RagnarLocker أنها تستطيع مراقبة غرف الدردشة للاستجابة للحوادث. وفي الوقت نفسه ، ينصح تنبيه مكتب التحقيقات الفيدرالي FLASH بأن المنظمات يجب ألا تدفع فدية للجهات الفاعلة الإجرامية ، لأنها قد تشجعهم على استهداف منظمات إضافية.
يبدو أن أفضل نهج لمثل هذا الموقف المعقد هو تجنب الفدية في المقام الأول.
قائمة طويلة من شركات النفط العالمية
بينما شاركت روسيا في بعض الاعتقالات الأدائية لعائلات برامج الفدية في نهاية عام 2021 ، فمن غير المرجح أن يستمر هذا النوع من التعاون نظرا للصراع المستمر بين روسيا وأوكرانيا. بغض النظر ، يبدو أن الشبكة تغلق حول RagnarLocker ، حيث أن بعض شركات النفط العالمية التي أنتجها مكتب التحقيقات الفيدرالي تكشف تماما - على وجه الخصوص ، هناك العديد من الاختلافات في عنوان البريد الإلكتروني الذي يحتوي على اسم "Alexey Berdin".
على الرغم من أن كلا تنبيهي FLASH يصفان تقنيات التعتيم في RagnarLocker ، فمن المثير للاهتمام ملاحظة مقدار المعلومات الاستخباراتية التي تم جمعها في مؤشرات التسوية (IOCs) بين نوفمبر 2020 ومارس 2022. بالإضافة إلى أكثر من اثني عشر عنوان بريد إلكتروني ، تثبيت مكتب التحقيقات الفيدرالي أيضا ثلاثة عناوين محفظة بيتكوين ، وأكثر من 30 عنوان IP يتعلق بخوادم القيادة والتحكم (C2) واستخراج البيانات.
ويطلب مكتب التحقيقات الفيدرالي من أي منظمات متضررة أن تتقدم بأي معلومات إضافية عن عمليات الاختراق، بما في ذلك المواد الضارة نظام منع التطفل والمواد القابلة للتنفيذ.
البنية التحتية الحيوية في مرمى النيران
بالنسبة لمعظم مزودي البنية التحتية الحيوية ، يعد RagnarLocker أحدث تذكير في سلسلة من هجمات برامج الفدية ، مثل Colonial Pipeline و JBS meatpacking و Kaseya. لِحُسْن اَلْحَظّ OPSWAT هي شركة رائدة في حماية البنية التحتية الحيوية.
تشكل حماية البنية التحتية الحيوية تحديا بسبب التعقيد بين IT/ تكامل OT وأنظمة SCADA القديمة ، وصعوبة الحصول على رؤية للأصول الهامة ، ونقص مهارات الأمن السيبراني الذي يكون أكثر وضوحا في قطاع البنية التحتية الحيوية.
RagnarLocker ليست عائلة برامج الفدية الأولى أو الأخيرة أو الوحيدة التي تستهدف قطاعات البنية التحتية الحيوية ، لذلك من الضروري أن تظل مؤسسات البنية التحتية الحيوية هذه يقظة ضد هذا التهديد. تحميل OPSWATإلى حماية البنية التحتية الحيوية لمعرفة كيفية إعداد مؤسستك اليوم.
